教學課程：對 API 實作受保護的端點

在本教學課程中，您會瞭解如何將驗證元素新增至原始程式碼來保護 API 端點。 保護 API 端點可確保只允許授權的使用者存取。 您可以使用未經驗證的要求來測試 API，以確保您的 API 會限制未經授權使用者的存取權。 Microsoft 身分識別平台 提供使用 Microsoft.Identity.Web NuGet 套件來保護 API 端點的方法。 在本文中，您會;

• 將驗證元素實作至原始程式碼
• 新增要顯示之 API 的天氣資訊
• 使用未經驗證的 GET 要求測試 API

必要條件

• 完成教學課程：建立和設定 ASP.NET 核心專案以進行驗證的必要條件和步驟。

實作授權

1. 開啟Program.cs檔案，並以下列代碼段取代內容：

   using Microsoft.AspNetCore.Authentication.JwtBearer;
   using Microsoft.AspNetCore.Authorization;
   using Microsoft.Identity.Web;
   
   var builder = WebApplication.CreateBuilder(args);
   builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
           .AddMicrosoftIdentityWebApi(options =>
           {
               builder.Configuration.Bind("AzureAd", options);
               options.TokenValidationParameters.NameClaimType = "name";
           }, options => { builder.Configuration.Bind("AzureAd", options); });
   
       builder.Services.AddAuthorization(config =>
       {
           config.AddPolicy("AuthZPolicy", policyBuilder =>
               policyBuilder.Requirements.Add(new ScopeAuthorizationRequirement() { RequiredScopesConfigurationKey = $"AzureAd:Scopes" }));
       });
   
   // Add services to the container.
   builder.Services.AddRazorPages();
   
   var app = builder.Build();
   
   app.UseAuthentication();
   app.UseAuthorization();
   
   var weatherSummaries = new[]
       {
           "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
       };
   
   app.MapGet("/weatherforecast", [Authorize(Policy = "AuthZPolicy")] () =>
       {
           var forecast = Enumerable.Range(1, 5).Select(index =>
               new WeatherForecast
               (
                   DateTime.Now.AddDays(index),
                   Random.Shared.Next(-20, 55),
                   weatherSummaries[Random.Shared.Next(weatherSummaries.Length)]
               ))
               .ToArray();
           return forecast;
       })
       .WithName("GetWeatherForecast");
   
   // Configure the HTTP request pipeline.
   if (!app.Environment.IsDevelopment())
   {
       app.UseExceptionHandler("/Error");
       // The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
       app.UseHsts();
   }
   
   app.UseHttpsRedirection();
   app.UseStaticFiles();
   
   app.UseRouting();
   
   app.UseAuthorization();
   
   app.MapRazorPages();
   
   app.Run();
   
   record WeatherForecast(DateTime Date, int TemperatureC, string? Summary)
   {
       public int TemperatureF => 32 + (int)(TemperatureC / 0.5556);
   } 
   

測試應用程式

Visual Studio

1. 在 Visual Studio 中，選取 [ 啟動但不偵錯]。

Visual Studio Code

1. 在終端機中輸入下列命令以啟動應用程式：

   dotnet run
   

2. 類似下列的輸出應該會顯示在終端機中。 這可確認應用程式正在執行 http://localhost:{port} ，並接聽要求。

   Building...
   info: Microsoft.Hosting.Lifetime[0]
       Now listening on: http://localhost:{port}
   info: Microsoft.Hosting.Lifetime[0]
       Application started. Press Ctrl+C to shut down.
   ...
   

Visual Studio for Mac

1. 選取 [播放執行中的方案]，以啟動應用程式。

注意

根據 Microsoft 的新式生命週期原則，Visual Studio for Mac 計畫於 2024 年 8 月 31 日前淘汰。 Visual Studio for Mac 17.6 會在 2024 年 8 月 31 日前繼續受到支援，可取得安全性問題的服務更新以及 Apple 的更新平台。 如需詳細資訊，請參閱Visual Studio for Mac 發生的情況。

網頁 http://localhost:{host} 會顯示類似下圖的輸出。 這是因為 API 是在未驗證的情況下呼叫。 若要進行授權的呼叫，請參閱 後續步驟 ，以取得如何存取受保護Web API的作法指南。

下一步

操作說明：使用 cURL 呼叫 API